DNA は AireOS コントローラ設定例の捕虜ポータルの間隔をあけます

概要

この資料に AireOS コントローラで Cisco DNA 領域を使用して捕虜ポータルを設定する方法を記述されています。

Andres 樹林 Cisco TAC エンジニアによって貢献される。

前提条件

要件

次の項目に関する知識が推奨されます。

• ワイヤレス コントローラへの Command Line Interface （CLI）または図形ユーザインターフェイス（GUI）アクセス
• Cisco DNA 領域

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

• 5520 のワイヤレス LAN コントローラ バージョン 8.10.112.0

設定

ネットワーク図

設定

Cisco DNA 領域に WLC を接続して下さい

つなぎ留めているコントローラは DNA 領域コネクタか CMX を使用することによってダイレクト接続利用可能な設定の何れかを使用して DNA 領域に、接続される、必要があります。

この例では、ダイレクト接続オプションは捕虜ポータルがすべての設定用の同じ方法設定されるが、使用中です。

コントローラを Cisco DNA 領域に接続するために、それは HTTPS に Cisco DNA 領域に達できます曇ります必要があります。 DNA 領域にコントローラを接続する方法に関する詳細についてはこのリンクを参照して下さい: DNA はダイレクト接続設定例の間隔をあけます

DNA 領域の SSID を作成して下さい

ステップ 1. DNA 領域のダッシュボードの捕虜ポータルをクリックして下さい:

ステップ 2.捕虜門脈メニューをページの左上のコーナーの 3 つの行アイコンをクリックして開き、SSID をクリックして下さい:

ステップ 3. SSID、選択しましたり CUWN （CMX/WLC）を「無線ネットワーク」タイプとして、入力します SSID 名前を『Import』 をクリック し/設定:

コントローラの ACL構成

ワイヤレス デバイスが SSID に接続され、IP アドレスを受け取るとすぐこれが Web 認証 SSID である、Webauth_Reqd 状態へのデバイスの Policy Manager 状態変わおよび ACL はクライアントセッションにデバイスが達することができるリソースを制限するために適用されますので事前認証 ACL が必要となり。

ステップ 1.セキュリティに > アクセス コントロール リスト（ACL） > アクセス コントロール リスト（ACL）ナビゲートし、ルールを『New』 をクリック し、DNA スペースに無線クライアント間のコミュニケーションを次の通り許可するために設定して下さい。 使用中のアカウントのための DNA 領域によって与えられる物と IP アドレスを取り替えて下さい:

注: DNA 領域の IP アドレスを ACL で許されるために取得するためにセクションのステップ 3 で作成される SSID からの設定 手動でオプションを作成します ACL構成 セクションの下で DNA 領域の SSID をクリックして下さい。

SSID はそれなしで RADIUSサーバをまたは使用するために設定することができます。 そのセッション 期間、帯域幅制限、またはシームレスに プロビジョニングする インターネットが捕虜門脈ルール設定の操作セクションで設定されれば、SSID は RADIUSサーバで設定される必要があります他では、RADIUSサーバを使用する必要がありません。 DNA 領域のいろいろな種類のポータルは両方の設定でサポートされます。

DNA 領域の RADIUSサーバのない捕虜ポータル

コントローラの SSID 設定

ステップ 1.移動への WLAN > WLAN。 新規 WLAN を作成してください。 プロファイル名および SSID を設定して下さい。 SSID 名前がセクションのステップ 3 で設定される DNA 領域の SSID を作成する同じであることを確かめて下さい。

ステップ 2.設定 レイヤ2 セキュリティ。 WLAN Configuration タブのセキュリティ > レイヤ2 タブにナビゲートし、どれもとしてレイヤ2 セキュリティのドロップダウン・メニューから選択して下さい。 MAC がフィルタリング 無効に なることを確かめて下さい。

ステップ 3.設定 レイヤ3 セキュリティ。 レイヤ3 セキュリティ 方式が、イネーブル パススルー、事前認証 ACL を設定するように WLAN Configuration タブのセキュリティ > レイヤ3 タブにナビゲートして下さい、外部で Web ポリシーを、イネーブル上書きグローバル な Config ように設定 しました Web Auth タイプ設定して下さい、リダイレクト URL を設定して下さい。

注: リダイレクト URL を得るために、セクションのステップ 3 で作成される SSID からの設定オプションを、作成します SSID コンフィギュレーションセクションの下で DNA 領域の SSID を、手動でクリックして下さい。

DNA 領域の RADIUSサーバが付いている捕虜ポータル

コントローラの RADIUSサーバ 設定

ステップ 1.セキュリティ > AAA > RADIUS > 認証にナビゲートし、RADIUSサーバ 情報を『New』 をクリック し、入力して下さい。 Cisco DNA は行為のユーザ認証のための RADIUSサーバ間隔をあけ、2 IP アドレスで応答できます。 両方の RADIUSサーバを設定して下さい:

注: セクションのステップ 3 で作成される SSID からプライマリおよびセカンダリサーバのための RADIUS IP アドレスおよび秘密鍵を、設定 手動でオプションをクリックするために得ることは DNA 領域の SSID を作成し、RADIUSサーバ設定 セクションにナビゲートします。

ステップ 2.アカウンティング RADIUSサーバを設定して下さい。 セキュリティ > AAA > RADIUS > アカウンティングにナビゲートし、『New』 をクリック して下さい。 同じ両方の RADIUSサーバを設定して下さい:

コントローラの SSID 設定

ステップ 1.移動への WLAN > WLAN。 新規 WLAN を作成してください。 プロファイル名および SSID を設定して下さい。 SSID 名前がセクションのステップ 3 で設定される DNA 領域の SSID を作成する同じであることを確かめて下さい。

ステップ 2.設定 レイヤ2 セキュリティ。 WLAN Configuration タブのセキュリティ > レイヤ2 タブにナビゲートして下さい。 どれもでレイヤ2 セキュリティを設定しないで下さい。 Mac フィルタリングを有効に して下さい。

ステップ 3.設定 レイヤ3 セキュリティ。 レイヤ3 セキュリティ 方式が、Mac フィルタ障害のイネーブル、事前認証 ACL を設定するように WLAN Configuration タブのセキュリティ > レイヤ3 タブにナビゲートして下さい、外部で Web ポリシーを、イネーブル上書きグローバル な Config ように設定 しました Web Auth タイプ設定して下さい、リダイレクト URL を設定して下さい。

ステップ 4.設定 AAA サーバ。 WLAN Configuration タブのセキュリティ > AAA サーバ タブに、イネーブル認証サーバ ナビゲートすればドロップダウン・メニューからのアカウンティング サーバはおよび 2 つの RADIUSサーバを選択します:

ステップ 6. Webauth ユーザ向けの認証優先順位を設定して下さい。 セキュリティ > AAA サーバ順序で WLAN Configuration タブのタブのに、およびセット RADIUS ように最初にナビゲートして下さい。

ステップ 7. WLAN Configuration タブの Advanced タブにナビゲートすればイネーブルは AAA 上書きを可能にします。

DNA 領域のポータルを作成して下さい

ステップ 1. DNA 領域のダッシュボードの捕虜ポータルをクリックして下さい:

ステップ 2.新しい『Create』 をクリック し、門脈名前を入力し、ポータルを使用できる位置を選択して下さい: 

ステップ 3.メッセージを受け取ったらことがユーザが選択でにできる場合認証種別を選択して下さい、門脈 Home ページのデータ収集およびユーザ一致を表示したいと思います『IF』 を選択 すれば。 [Next] をクリックします。

ステップ 4.データ キャプチャ要素。 ユーザからデータをキャプチャしたいと思う場合有効データ収集ボックスをチェックし、望ましいフィールドを追加するために +Add フィールド要素をクリックして下さい。 [Next] をクリックします。

ステップ 5 有効用語及び状態をチェックし、ポータルを『SAVE』 をクリック して下さい及び設定して下さい:

ステップ 6.、『SAVE』 をクリック しなさい必要に応じてポータルを編集して下さい:

DNA 領域の捕虜門脈ルールを設定して下さい

ステップ 1.捕虜門脈メニューを開き、捕虜門脈ルールをクリックして下さい:

ステップ 2.作成します新しいルールを『+』 をクリック して下さい。 ルール名前を入力し、前もって設定される SSID を選択しこの門脈ルールによってが利用できるに場所を選択して下さい:

ステップ 3.捕虜ポータルの操作を選択して下さい。 この場合ルールが見つかるとき、ポータルは示されています。 『SAVE』 をクリック して下さい及び送達して下さい。

確認

監視するために SSID 移動に接続されるクライアントのステータスを確認するために > クライアントは、MAC アドレスをクリックし、Policy Manager 状態を探します:

トラブルシューティング

次のコマンドはクライアントのアソシエーションおよび認証プロセスを確認するテストする前にコントローラで有効に することができます。

(5520-Andressi) >debug client <Client-MAC-Address>
(5520-Andressi) >debug web-auth redirect enable mac <Client-MAC-Address>

これは RADIUSサーバ無しで SSID に接続している間アソシエーション/認証プロセスの間にフェーズのそれぞれを識別する正常な試みからの出力です:

802.11 アソシエーション/認証:

*apfOpenDtlSocket: Apr 09 21:49:06.227: 34:e1:2d:23:a6:68 Received management frame ASSOCIATION REQUEST on BSSID 70:d3:79:dd:d2:0f destination addr 70:d3:79:dd:d2:0f slotid 1
*apfMsConnTask_5: Apr 09 21:49:06.227: 34:e1:2d:23:a6:68 Updating the client capabiility as 4
*apfMsConnTask_5: Apr 09 21:49:06.227: 34:e1:2d:23:a6:68 Processing assoc-req station:34:e1:2d:23:a6:68 AP:70:d3:79:dd:d2:00-01 ssid : AireOS-DNASpaces thread:bd271d6280
*apfMsConnTask_5: Apr 09 21:49:06.227: 34:e1:2d:23:a6:68 CL_EVENT_ASSOC_START (1), reasonCode (1), Result (0), Ssid (AireOS-DNASpaces), ApMac (70:d3:79:dd:d2:00), RSSI (-72), SNR (22)
*apfMsConnTask_5: Apr 09 21:49:06.228: 34:e1:2d:23:a6:68 Sending assoc-resp with status 0 station:34:e1:2d:23:a6:68 AP:70:d3:79:dd:d2:00-01 on apVapId 1

DHCP およびレイヤ3 認証:

*apfMsConnTask_5: Apr 09 21:49:06.228: 34:e1:2d:23:a6:68 Mobility query, PEM State: DHCP_REQD
*webauthRedirect: Apr 09 21:49:51.949: captive-bypass detection enabled, checking for wispr in HTTP GET, client mac=34:e1:2d:23:a6:68
*webauthRedirect: Apr 09 21:49:51.949: captiveNetworkMode enabled, mac=34:e1:2d:23:a6:68 user_agent = AnyConnect Agent 4.7.04056
*webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- Preparing redirect URL according to configured Web-Auth type
*webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- unable to get the hostName for virtual IP, using virtual IP =192.0.2.1
*webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- Checking custom-web config for WLAN ID:1
*webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- Global status is 0 on WLAN 
*webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- checking on WLAN web-auth type
*webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- Web-auth type External, using URL:https://splash.dnaspaces.io/p2/mexeast1
*webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- Added switch_url, redirect URL is now https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html
*webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- Added ap_mac (Radio ), redirect URL is now https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00
*webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- Added client_mac , redirect URL is now https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:e1:2d:23:a6
*webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- Added wlan, redirect URL is now https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:e1:2d:23:a6:68&wla
*webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- http_response_msg_body1 is <HTML><HEAD><TITLE> Web Authentication Redirect</TITLE><META http-equiv="Cache-control" content="no-cache"><META http-equiv="Pragma" content="
*webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- added redirect=, URL is now https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:e1:2d:23:a6:68&wlan=Ai
*webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- str1 is now https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:e1:2d:23:a6:68&wlan=AireOS-DNASpaces&r

*webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- Message to be sent is
HTTP/1.1 200 OK
Location: https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:
*webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- 200 send_data =HTTP/1.1 200 OK
Location: https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:e1:2d:23
*webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- send data length=688
*webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- Url:https://splash.dnaspaces.io/p2/mexeast1 
*webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- cleaning up after send

正常なレイヤ3 認証は走行状態にクライアントを変わります:

*emWeb: Apr 09 21:49:57.633: Connection created for MAC:34:e1:2d:23:a6:68
*emWeb: Apr 09 21:49:57.634: 
ewaURLHook: Entering:url=/login.html, virtIp = 192.0.2.1, ssl_connection=0, secureweb=1

*ewmwebWebauth1: Apr 09 21:49:57.634: 34:e1:2d:23:a6:68 10.10.30.42 WEBAUTH_NOL3SEC (14) Change state to RUN (20) last state WEBAUTH_NOL3SEC (14)
*ewmwebWebauth1: Apr 09 21:49:57.634: 34:e1:2d:23:a6:68 CL_EVENT_WEB_AUTH_DONE (8), reasonCode (0), Result (0), ServerIp (), UserName ()
*ewmwebWebauth1: Apr 09 21:49:57.634: 34:e1:2d:23:a6:68 CL_EVENT_RUN (9), reasonCode (0), Result (0), Role (1), VLAN/VNID (20), Ipv4Addr (10.10.30.42), Ipv6Present (No)
*ewmwebWebauth1: Apr 09 21:49:57.634: 34:e1:2d:23:a6:68 10.10.30.42 RUN (20) Successfully plumbed mobile rule (IPv4 ACL ID 255, IPv6 ACL ID 255, L2 ACL ID 255,URL ACL ID 255,URL ACL Action 0)

*emWeb: Apr 09 21:49:57.634: User login successful, presenting login success page to user